DECLARE @a varchar(max);
set @a ='''a'' OR Name like ''%a'';';
--Why the below query not working
Select TOP 10 * FROM Member where Name = @a
-- The query below was executed to make sure that the query above
being constructed properly
print 'SQL: Select TOP 10 * FROM Member where Name ='+ @a
--SQL: Select TOP 10 * FROM Member where Name ='a' OR Name like '%a';
如果我错了,请纠正我,SQL注入在存储过程中不起作用是由于一些预编译因素,但上述场景是在查询语句而不是存储过程中测试的。为什么还没有工作?
答案 0 :(得分:4)
我不确定为什么你认为会工作。 @a是varchar变量,因此Select TOP 10 * FROM Member where Name = @a会找到Name等于该变量值的行。
如果您希望SQL-Server获取@a的值并将其作为代码插入到查询中,那么您需要使用sp_executesql(类似于{{ 1}}在Bash,Python和JavaScript等语言中):
eval答案 1 :(得分:1)
当数据被混淆并被解释为代码时,就会发生SQL注入。
在您的方案中不会发生这种情况,因为参数或变量值不会直接解释为代码 - 如果您通过组合字符串构造新代码,它们只会面临被解释为代码的风险和这些参数/变量值,然后将整个构造的字符串传递给系统,并要求它将整个字符串解释为代码 - 通过exec,sp_executesql或其他此类方法。
答案 2 :(得分:0)
看看没有名字以' a'结尾。试试
Select TOP 10 * FROM Member where Name ='a' OR Name like '%a%'
<强>更新
Microsoft处理SQL参数的SQL注入。